IPSec VPN - Exclusive Networkspassport.exclusive-networks.it/upload/workdoc/Webinar... · 2013. 2....

1

© 2012 Fortinet Training Services. This training may not be recorded in any medium, disclosed, copied, reproduced or

distributed to anyone without prior written consent of an authorized representative of Fortinet.

IPSec VPN

Modulo 2

2

Obiettivi

• Al termine del webinar sarete in grado di:

» Definire le componenti architetturali delle VPN IPSec

» Definire i protocolli facenti parte delle VPN IPSec

» Identificare le modalità operative

» Configurare VPN IPSec in diversi scenari

3

IPSec VPN

Private network

Mittente

autenticato

Informazioni

confidenziali

Informazioni

Integre

4

IPSec VPN

• IPSec è una suite di protocolli standard (AH e ESP) usati per crittografarei dati così che non possano essere letti durante l’attraversamento delle

reti insicure

• Offre:» Autenticazione del mittente

» Confidenzialità dei dati

» Integrità dei dati

5

IPSec VPN

• IPSec opera a livello network (ISO/OSI layer 3)

» Crittografia trasparente per gli strati superiori

» Le applicazioni non devono essere progettate per l’utilizzo mediante IPSec

• IPSec protegge anche i livelli superiori (come TCP) ma la

complessità ed il carico di CPU aumentano

• Hardware “Enterprise” dedicato all’encryption offloading (NPU)

» FGT-200B e sueriori (non disponibile su VMs)

» Modulo opzionale con porte accelerate (FORASM-FB4)

6

Internet Key Exchange

• Internet Key Exchange (IKE) consente ai peers coinvolti in unatransazione, di sincronizzare le loro Security Associations

• Phase 1 autentica i peers coinvolti ed attiva un canale sicuro per lo scambio delle chiavi di cifratura

• Phase 2 negozia i parametri IPSec per definire il tunnel e determinarele politiche di routing (Quick Selector)

7

Definizione Parametri Phase 1

KB IDs:

11657 SonicWall

13574 Cisco

8

Tunnel vs. Interface Mode

Tunnel Mode

• Configurazione più semplice

• Influenzata dal posizionamento delle policy

• Minor granularità

Interface Mode

• Necessaria in caso di GRE over IPSec

• Necessaria se occorre manipolare l’IP sorgente dei pacchetti

• Necessaria se è richiesto routing dinamico over IPSec

• Maggiore controllo

9

Definizione Parametri Phase 2

10

Interface Mode

• Crea un’interfaccia virtuale IPSec che applica la crittografia/decrittografia a tutto il traffico che l’attraversa» Anche conosciuta come Route-Based

• Creare due firewall policies tra la interfaccia virtuale IPSec e l’interfacciache si connette alla rete privata interna

• Azione impostata ad ACCEPT

• Necessita una rotta statica dedicata ad ogni tunnel VPN

• Necessaria in caso di utilizzo con routing dinamico o GRE over IPSec

11

Tunnel Mode

• Facile da configurare, unica firewall policy internal → external che

supporta il traffico bi-direzionale

• Azione impostata a IPSec

• Selezione della Phase1 del tunnel

• Firewall policies IPSec devono essere posizionate in cima alla policy

list

• Vulnerabile agli errori dei quick selectors o delle policies

• Posizionamento delle policies è molto importante

12

Tunnel Mode vs Interface Mode

Funzionalità Tunnel mode (Policy-Based) Interface mode (Route-Based)

Disponibile in modalità NAT e TP sì solo in NAT mode

Supporto L2TP-over-IPSec sì no

Supporto GRE-over-IPSec no sì

FW Policy tipi e configurazioniLan > Internet + Action=IPSec (Encrypt)

Source e Destination address specificatiLan > Phase1 Virtual Interface + Action=Accept (no NAT)

Phase1 Virtual Interface > Lan + Action=Accept (no NAT)

Numero di FW Policy per VPN Una, controlla entrambe le direzioni Due, una per direzione

13

IPSec Topologies (Site-to-Site)

Centro Stella

Sede periferica

Site-to-site

14

IPSec VPN Client-to-Gateway

1. Preshared key

2. Encryption (DES, 3DES, AES 128,192,256 bit)

3. Authentication (MD5, SHA 1,256,384,512)

4. Extended Authentication (X-Auth)

5. Autenticazione a 2 fattori (PIN da FortiToken)

15

Autenticazione

Username e Password (primo fattore)

FortiToken (secondo fattore)+

16

FortiClient - Versioni e Funzionalità supportate

Versione/Funzionalità VPN-SSL VPN IPSec AntiVirus WebFiltering Application Firewall 2-Fact Auth Vulnerability Scan WAN Optimization

Windows (XP o superiori) sì sì sì sì sì sì sì sì

Mac OS X (Snow Leopard 10.6 o superiori) sì sì sì sì sì sì sì nd

iOS Apple - iPhone/iPad (5.1 o superiori) sì no nd sì nd sì nd nd

Android (4.0 ICS o superiori) sì sì nd nd nd Sì nd nd

http://www.forticlient.com/

http://www.forticlient.com/http://www.forticlient.com/

17

IPSec nativo (versione Android)

18

FortiClient IPSec (versione Android) http://www.forticlient.com

http://www.forticlient.com/http://www.forticlient.com/

19



20



21



22



23

FortiClient IPSec (versione Windows)

24

FortiClient IPSec (versione Windows)

25

Topologia dell’ambiente di laboratorio FCL-to-Gw

26

Topologia dell’ambiente di laboratorio Smartphone-to-Gw

27

Topologia dell’ambiente di laboratorio Gw-to-Gw

28

Troubleshooting

Abilitare Debug

diag debug enable

diag vpn ike filter src-addr4

diag debug application ike -1

Disabilitare Debug

diag debug reset

diag debug disable

29

Troubleshooting

FGT-60C_LAB # ike 0: comes 213.215.239.62:879->87.241.14.115:500,ifindex=4....

ike 0: IKEv1 exchange=Aggressive id=90f6dd40de8116f9/0000000000000000 len=564

ike 0: IKEv1 Aggressive, comes 213.215.239.62:879->87.241.14.115 4, peer-id=(null).

ike 0:FortiClient_pc: check for IP assignment method ...

ike 0:FortiClient_pc: no IP assignment method defined

ike 0:FortiClient_pc:88: responder: aggressive mode get 1st message...

ike 0:FortiClient_pc:88: VID draft-ietf-ipsec-nat-t-ike-02

ike 0:FortiClient_pc:88: VID draft-ietf-ipsra-isakmp-xauth-06.txt 09002689DFD6B712

ike 0:FortiClient_pc:88: XAUTHv6 negotiated

ike 0:FortiClient_pc:88: VID DPD AFCAD71368A1F1C96B8696FC77570100

ike 0:FortiClient_pc:88: DPD negotiated

ike 0:FortiClient_pc:88: VID forticlient connect license

ike 0:FortiClient_pc:88: enable FortiClient license check

ike 0:FortiClient_pc:88: VID Fortinet Endpoint Control

ike 0:FortiClient_pc:88: enable FortiClient endpoint compliance check, use 169.254.1.1

ike 0:FortiClient_pc:88: negotiation result

ike 0:FortiClient_pc:88: proposal id = 1:

ike 0:FortiClient_pc:88: protocol id = ISAKMP:

ike 0:FortiClient_pc:88: trans_id = KEY_IKE.

ike 0:FortiClient_pc:88: encapsulation = IKE/none

ike 0:FortiClient_pc:88: type=OAKLEY_ENCRYPT_ALG, val=3DES_CBC.

ike 0:FortiClient_pc:88: type=OAKLEY_HASH_ALG, val=SHA.

ike 0:FortiClient_pc:88: type=AUTH_METHOD, val=PRESHARED_KEY.

ike 0:FortiClient_pc:88: type=OAKLEY_GROUP, val=1536.

ike 0:FortiClient_pc:88: ISKAMP SA lifetime=28800

ike 0:FortiClient_pc:88: selected NAT-T version: RFC 3947

ike 0:FortiClient_pc:88: cookie 90f6dd40de8116f9/6371187ba063666a

ike 0:FortiClient_pc:88: PSK authentication succeeded

ike 0:FortiClient_pc:88: authentication OK

ike 0:FortiClient_pc:88: NAT detected: ME PEER

ike 0:FortiClient_pc:88: port change 879 -> 62736

ike 0:FortiClient_pc:88: established IKE SA 90f6dd40de8116f9/6371187ba063666a

ike 0:FortiClient_pc: adding new dynamic tunnel for 213.215.239.62:62736

ike 0:FortiClient_pc_: could not create dialup name FCL_pc_0

ike 0: comes 213.215.239.62:62736->87.241.14.115:4500,ifindex=4....

ike 0: IKEv1 exchange=Informational id=90f6dd40de8116f9/6371187ba063666a:c0615af7

len=84

ike 0: in

90F6DD40DE8116F96371187BA063666A08100501C0615AF700000054BD08D6C2D06903

25A22B21CAB52F6DD4877E0B4982052B5CF866218F06DFEFBF3D358B4ADF02F0A2A2

C60234CCB15DC887543BE2D00D4266

ike 0: no established IKE SA for exchange-type Informational from 213.215.239.62:62736-

>87.241.14.115 4 cookie 90f6dd40de8116f9/6371187ba063666a, drop

id=13 trace_id=68 func=resolve_ip_tuple_fast line=4190 msg="vd-root received a

packet(proto=17, 213.215.239.62:62736->87.241.14.115:4500) from wan1."

id=13 trace_id=68 func=resolve_ip_tuple_fast line=4224 msg="Find an existing session, id-

0041e778, original direction"

30

Troubleshooting

ike 0:to-CentroStella:281:32051: peer proposal is: peer:0:0.0.0.0-255.255.255.255:0,

me:0:0.0.0.0-255.255.255.255:0

ike 0:to-CentroStella:281:ph2_to_CS:32051: trying

ike 0:to-CentroStella:281:32051: specified selectors mismatch

ike 0:to-CentroStella:281:32051: peer: type=7/7, local=0:0.0.0.0-255.255.255.255:0,

remote=0:0.0.0.0-255.255.255.255:0

ike 0:to-CentroStella:281:32051: mine: type=7/7, local=0:192.168.169.0-192.168.169.255:0,

remote=0:192.168.168.0-192.168.168.255:0

ike 0:to-CentroStella:281:32051: no matching phase2 found

ike 0:to-CentroStella:281:32051: failed to get responder proposal

ike 0:to-CentroStella:281: error processing quick-mode message from 213.215.239.62 as

responder

ike 0:FortiClient_pc:88: PSK authentication succeeded

ike 0:FortiClient_pc:88: authentication OK

ike 0:FortiClient_pc:88: NAT detected: ME PEER

ike 0:FortiClient_pc:88: port change 879 -> 62736

ike 0:FortiClient_pc:88: established IKE SA 90f6dd40de8116f9/6371187ba063666a

ike 0:FortiClient_pc: adding new dynamic tunnel for 213.215.239.62:62736

ike 0:FortiClient_pc_: could not create dialup name FortiClient_pc_0, too long

ike 0:FortiClient_pc:88: schedule delete of IKE SA

ike 0:FortiClient_pc: connection expiring due to phase1 down

ike 0:FortiClient_pc: deleting

ike 0:FortiClient_pc: flushing

ike 0:FortiClient_pc: sending SNMP tunnel DOWN trap

ike 0:FortiClient_pc: flushed

ike 0:FortiClient_pc: reset NAT-T

ike 0:FortiClient_pc: deleted

ike 0: comes 213.215.239.62:62736->87.241.14.115:4500,ifindex=4....

ike 0: IKEv1 exchange=Informational id=90f6dd40de8116f9/6371187ba063666a:c0615af7

len=84

ike 0: in

90F6DD40DE8116F96371187BA063666A08100501C0615AF700000054BD08D6C2D06903

25A22B21CAB52F6DD4877E0B4982052B5CF866218F06DFEFBF3D358B4ADF02F0A2A2

C60234CCB15DC887543BE2D00D4266

ike 0: no established IKE SA for exchange-type Informational from 213.215.239.62:62736-

>87.241.14.115 4 cookie 90f6dd40de8116f9/6371187ba063666a, drop

id=13 trace_id=68 func=resolve_ip_tuple_fast line=4190 msg="vd-root received a

packet(proto=17, 213.215.239.62:62736->87.241.14.115:4500) from wan1."

id=13 trace_id=68 func=resolve_ip_tuple_fast line=4224 msg="Find an existing session, id-

0041e778, original direction"

31

URL Utili

#FortinetbySidin• Entra nella Community FortiTech Italia

• Area Partner Istituzionale

• Area Privata Istituzionale

• Area Partner Italia

https://partners.fortinet.com/Login.aspx?ReturnUrl=%2fDefault.aspx

https://support.fortinet.com/Login/UserLogin.aspx

http://www.fortinet.it/

• Area Tecnica Istituzionale

http://docs.fortinet.com/fgt.html

https://twitter.com/FortinetbySidin

https://twitter.com/https://partners.fortinet.com/Login.aspx?ReturnUrl=/Default.aspxhttps://support.fortinet.com/Login/UserLogin.aspxhttp://www.fortinet.it/http://docs.fortinet.com/fgt.htmlhttps://twitter.com/FortinetbySidin

32

Prossimi eventi

• WiFi Controller - 15 febbraio h. 11.00

• Scenari Dual Wan - 22 febbraio h. 11.00

• http://www.sidin.it/scheda/Formazione_e_eventi/Formazione_on_line

http://www.sidin.it/scheda/Formazione_e_eventi/Formazione_on_line

33

Abbiamo Terminato il modulo 2 – VPN IPSec

!!! Grazie per l’attenzione !!!

IPSec VPN - Exclusive Networkspassport.exclusive-networks.it/upload/workdoc/Webinar... · 2013. 2....

Documents

Transcript of IPSec VPN - Exclusive Networkspassport.exclusive-networks.it/upload/workdoc/Webinar... · 2013. 2....